Web 攻击的日志分析：初学者指南

淩亂°似流年 2023-09-28 19:04 93阅读 0赞

由于各种原因，Web 应用程序经常面临可疑活动，例如使用自动[漏洞扫描程序][Link 1]扫描网站的孩子或试图模糊 SQL 注入参数的人等。在许多此类情况下，登录必须分析网络服务器以找出发生了什么。如果情况严重，可能需要法医调查。

除此之外，还有其他场景。

对于管理员来说，了解如何从安全角度分析日志非常重要。

刚开始进行[黑客/渗透测试][Link 2]的人必须了解为什么他们不应该在未经事先许可的情况下测试/扫描网站。

本文涵盖了日志分析的基本概念，为上述场景提供解决方案。

### 设置 ###

出于演示目的，我有以下设置。

#### 阿帕奇服务器 ####

– 预装在 Kali Linux 中

这可以使用以下命令启动：

*service apache2 start*

#### ![80003279e03b4c10aa614cb8a0fcb139.png][] ####

#### MySQL ####

– 预装在 Kali Linux 中

这可以使用以下命令启动：

*service mysql start*

![d2a274d5962a4e1fb6e8717397dc63a3.png][]

#### 使用 PHP-MySQL 构建的易受攻击的 Web 应用程序 ####

我使用 PHP 开发了一个易受攻击的 Web 应用程序，并将其托管在上述 Apache-MySQL 中。

通过上述设置，我使用 Kali Linux 中可用的一些自动化工具（ZAP、w3af）扫描了这个易受攻击的应用程序的 URL。现在让我们看看分析日志的各种案例。

### 登录 Apache 服务器 ###

出于各种明显的原因，始终建议在 Web 服务器上维护日志。

Debian 系统上 Apache 服务器日志的默认位置是

/var/log/apache2/access.log

日志记录只是将日志存储在服务器中的过程。我们还需要分析日志以获得正确的结果。在下一节中，我们将了解如何分析 Apache 服务器的访问日志，以确定网站上是否有任何攻击企图。

### 分析日志 ###

#### 人工检查 ####

如果日志的大小较小，或者我们正在寻找特定的关键字，那么我们可以花一些时间使用诸如 grep 表达式之类的东西手动观察日志。

在下图中，我们尝试搜索 URL 中包含关键字“union”的所有请求。

![95758ee89ce05f256e9c076080776768.png][]

从上图中，我们可以看到 URL 中的查询“ **union select 1,2,3,4,5** ”。很明显，IP 地址为 192.168.56.105 的人尝试了 SQL 注入。

同样，当我们有关键字时，我们可以搜索特定的请求。

在下图中，我们正在搜索尝试读取“/etc/passwd”的请求，这显然是本地文件包含尝试。

![f11243e1f137494d8a9356a05ebc98b3.png][]

如上面的屏幕截图所示，我们有许多请求尝试 LFI，这些请求是从 IP 地址 127.0.0.1 发送的。这些请求是从自动化工具生成的。

在许多情况下，很容易识别日志是否是从自动扫描仪发送的。自动扫描仪很嘈杂，并且在测试应用程序时使用供应商特定的有效负载。

例如，IBM appscan 在许多有效负载中使用“appscan”一词。因此，查看日志中的此类请求，我们可以确定发生了什么。

Microsoft Excel 也是打开日志文件和分析日志的好工具。我们可以通过指定“空格”作为分隔符，使用 Excel 打开日志文件。当我们没有日志解析工具时，这很方便。

除了这些关键字之外，在分析过程中掌握 HTTP 状态代码的基本知识也非常重要。

下表显示了有关 HTTP 状态代码的高级信息。

<table> 
 <tbody> 
 <tr> 
 <td style="vertical-align:top;">1xx</td> 
 <td style="vertical-align:top;">信息</td> 
 </tr> 
 <tr> 
 <td style="vertical-align:top;">2xx</td> 
 <td style="vertical-align:top;">成功的</td> 
 </tr> 
 <tr> 
 <td style="vertical-align:top;">3xx</td> 
 <td style="vertical-align:top;">重定向</td> 
 </tr> 
 <tr> 
 <td style="vertical-align:top;">4xx</td> 
 <td style="vertical-align:top;">客户端错误</td> 
 </tr> 
 <tr> 
 <td style="vertical-align:top;">5xx</td> 
 <td style="vertical-align:top;">服务器错误</td> 
 </tr> 
 </tbody> 
</table>

#### 网络外壳 ####

Web shell 是网站/服务器的另一个问题。Web shell 提供对服务器的完全控制。在某些情况下，我们可以使用 Web Shell 访问托管在同一服务器上的所有其他站点。

以下屏幕截图显示了在 Microsoft Excel 中打开的同一个 access.log 文件。我在指定客户端访问的文件的列上应用了过滤器。

![26e9aa7a38892005ee68eb28d107ea76.png][]

如果我们清楚地观察，有一个名为“b374k.php”的文件正在被访问。“b374k” 是一个流行的 web shell，因此这个文件纯粹是可疑的。查看响应代码“200”，这一行表明有人上传了一个 web shell 并正在从 web 服务器访问它。

在将其上传到服务器时，并不总是需要为正在上传的 web shell 赋予其原始名称的情况。在许多情况下，攻击者会重命名它们以避免怀疑。这是我们必须采取聪明行动的地方，看看被访问的文件是普通文件还是看起来不寻常。如果有任何可疑之处，我们可以进一步查看文件类型和时间戳。

#### 一个单引号就赢了 ####

众所周知，SQL 注入是 Web 应用程序中最常见的漏洞之一。大多数开始使用 Web 应用程序安全的人都是从 SQL 注入开始学习的。识别传统的 SQL 注入就像在 URL 参数中添加单引号并中断查询一样简单。

我们传递的任何东西都可以记录在服务器中，并且可以追溯。

以下屏幕截图显示了访问日志条目，其中传递了一个单引号以检查参数“user”中的 SQL 注入。

%27 是单引号的 URL 编码形式。

![cc79d4dea21d4353a2408ebc084763d1.png][]

出于管理目的，我们还可以执行查询监视以查看在数据库上执行了哪些查询。

![52f2d56fb6bf42e59760ef27e56c3d01.png][]

如果我们观察上图，它显示了从上图中发出的请求执行的查询，其中我们通过参数“user”传递了一个单引号。

我们将在本文后面讨论有关登录数据库的更多信息。

#### 使用自动化工具进行分析 ####

当日志量很大时，很难进行人工检查。在这种情况下，我们可以使用自动化工具以及一些手动检查。

尽管有许多有效的商业工具，但我要介绍一个名为 Scalp 的免费工具。

根据他们的官方链接，“Scalp 是 Apache Web 服务器的日志分析器，旨在查找安全问题。主要思想是查看巨大的日志文件并提取通过 HTTP/GET 发送的可能攻击。”

头皮可以从以下链接下载。

[https://code.google.com/p/apache-scalp/][https_code.google.com_p_apache-scalp]

它是一个 Python 脚本，因此需要在我们的机器上安装 Python。

下图显示了该工具的使用帮助。

![98e2f8a64854472dba80d268c5257ee1.png][]

正如我们在图中看到的，我们需要使用标志“-l”提供要分析的日志文件。

除此之外，我们需要提供一个使用标志“-f”的过滤器文件，Scalp 使用该标志识别 access.log 文件中可能的攻击。

我们可以使用 PHPIDS 项目中的过滤器来检测任何恶意尝试。

该文件名为 default\_filter.xml，可以从下面的链接下载。

[PHPIDS/default\_filter.xml at master · PHPIDS/PHPIDS · GitHub][PHPIDS_default_filter.xml at master _ PHPIDS_PHPIDS _ GitHub]

下面的一段代码是取自上述链接的一部分。

\[php\] 
<filter> 
<id>12</id> 
<rule><!\[CDATA\[(?:etc/W\*passwd)\]\]></rule> 
<description>Detects etc/passwd inclusion attempts</description> 
<tags> 
<tag>dt</tag> 
<tag>id</tag> 
<tag>lfi</tag> 
</tags> 
<impact>5</impact> 
</filter> 
\[/php\]

它使用 XML 标记中定义的规则集来检测正在尝试的各种攻击。上面的代码片段是检测文件包含尝试的示例。同样，它可以检测其他类型的攻击。

下载此文件后，将其放在放置 Scalp 的同一文件夹中。

运行以下命令以使用 Scalp 分析日志。

python scalp-0.4.py –l /var/log/apache2/access.log –f filter.xml –o output –html

**注意**：我已将系统中的此文件重命名为屏幕截图中的 access.log.1。你可以忽略它。

![109e25f292fe4ab587c253498b5eb9c4.png][]

“输出”是将保存报告的目录。如果它不存在，它将由 Scalp 自动创建。

–html 用于生成 HTML 格式的报告。

如上图所示，Scalp 结果显示，它分析了 4024 上的 4001 行，发现了 296 种攻击模式。

我们甚至可以使用“–except”标志保存由于某种原因未分析的行。

运行上述命令后，会在输出目录中生成报告。我们可以在浏览器中打开它并查看结果。

以下屏幕截图显示了一小部分输出，其中显示了目录遍历攻击尝试。

![f955f910d32f4c85aecbc798157d30d1.png][]

#### 登录 MySQL ####

本节涉及对数据库攻击的分析以及监控它们的可能方法。

第一步是查看设置的变量是什么。我们可以使用“显示变量”来做到这一点；如下所示。

![04a44466e4bc7863f5be7fc2ff0452e1.png][]

下图显示了上述命令的输出。

![fe841fb6566e49c0adfaaadaf0b769a2.png][]

正如我们在上图中看到的那样，日志记录已打开。默认情况下，此值为 OFF。

这里的另一个重要条目是“log\_output”，这表示我们正在将它们写入“FILE”。或者，我们也可以使用表格。

我们甚至可以看到“log\_slow\_queries”是开启的。同样，默认值为“OFF”。

所有这些选项都有详细解释，可以直接从下面链接中提供的 MySQL 文档中阅读。

http://dev.mysql.com/doc/refman/5.0/en/server-logs.html

#### MySQL中的查询监控 ####

通用查询日志记录建立的客户端连接和从客户端接收的语句。如前所述，默认情况下不会启用这些，因为它们会降低性能。我们可以直接从 MySQL 终端启用它们，也可以编辑 MySQL 配置文件，如下所示。

我正在使用 VIM 编辑器打开位于“/etc/mysql/”目录下的“my.cnf”文件。

![6876a55bed7a483eae7523db9001244f.png][]

如果我们向下滚动，我们可以看到一个 Logging and Replication 部分，我们可以在其中启用日志记录。这些日志被写入一个名为 mysql.log 的文件中。

我们还可以看到这种日志类型是性能杀手的警告。

通常管理员使用此功能进行故障排除。

![06b650fbcc32aa07148cb9c9f9b6e763.png][]

我们还可以看到“log\_slow\_queries”条目来记录需要很长时间的查询。

![0d7e390e88793c52403c1c55ddca21e8.png][]

现在一切都准备好了。如果有人用恶意查询访问数据库，我们可以在这些日志中观察到，如下所示。

![fb3b07098a5fa09ae56c7b0b673dc931.png][]

上图显示了一个查询访问名为“webservice”的数据库并尝试使用 SQL 注入绕过身份验证。

#### 更多日志 ####

默认情况下，Apache 只记录 GET 请求。要记录 POST 数据，我们可以使用名为“mod\_dumpio”的 Apache 模块。

要了解更多关于实现部分的信息，请参考下面的链接。或者，我们可以使用“mod security”来实现相同的结果。

#### **来源** ####

*  [阿帕奇日志][Link 3]
 *  [Apache 日志实现][Apache]

[Link 1]: https://www.infosecinstitute.com/skills/learning-paths/vulnerability-assessment/?utm_source=resources&utm_medium=infosec%20network&utm_campaign=skills%20pricing&utm_content=hyperlink
[Link 2]: https://www.infosecinstitute.com/courses/ethical-hacking-boot-camp/?utm_source=resources&utm_medium=infosec%20network&utm_campaign=course%20pricing&utm_content=hyperlink
[80003279e03b4c10aa614cb8a0fcb139.png]: https://img-blog.csdnimg.cn/80003279e03b4c10aa614cb8a0fcb139.png
[d2a274d5962a4e1fb6e8717397dc63a3.png]: https://img-blog.csdnimg.cn/d2a274d5962a4e1fb6e8717397dc63a3.png
[95758ee89ce05f256e9c076080776768.png]: https://img-blog.csdnimg.cn/img_convert/95758ee89ce05f256e9c076080776768.png
[f11243e1f137494d8a9356a05ebc98b3.png]: https://img-blog.csdnimg.cn/f11243e1f137494d8a9356a05ebc98b3.png
[26e9aa7a38892005ee68eb28d107ea76.png]: https://img-blog.csdnimg.cn/img_convert/26e9aa7a38892005ee68eb28d107ea76.png
[cc79d4dea21d4353a2408ebc084763d1.png]: https://img-blog.csdnimg.cn/cc79d4dea21d4353a2408ebc084763d1.png
[52f2d56fb6bf42e59760ef27e56c3d01.png]: https://img-blog.csdnimg.cn/52f2d56fb6bf42e59760ef27e56c3d01.png
[https_code.google.com_p_apache-scalp]: https://code.google.com/p/apache-scalp/
[98e2f8a64854472dba80d268c5257ee1.png]: https://img-blog.csdnimg.cn/98e2f8a64854472dba80d268c5257ee1.png
[PHPIDS_default_filter.xml at master _ PHPIDS_PHPIDS _ GitHub]: https://github.com/PHPIDS/PHPIDS/blob/master/lib/IDS/default_filter.xml
[109e25f292fe4ab587c253498b5eb9c4.png]: https://img-blog.csdnimg.cn/109e25f292fe4ab587c253498b5eb9c4.png
[f955f910d32f4c85aecbc798157d30d1.png]: https://img-blog.csdnimg.cn/f955f910d32f4c85aecbc798157d30d1.png
[04a44466e4bc7863f5be7fc2ff0452e1.png]: https://img-blog.csdnimg.cn/img_convert/04a44466e4bc7863f5be7fc2ff0452e1.png
[fe841fb6566e49c0adfaaadaf0b769a2.png]: https://img-blog.csdnimg.cn/fe841fb6566e49c0adfaaadaf0b769a2.png
[6876a55bed7a483eae7523db9001244f.png]: https://img-blog.csdnimg.cn/6876a55bed7a483eae7523db9001244f.png
[06b650fbcc32aa07148cb9c9f9b6e763.png]: https://img-blog.csdnimg.cn/img_convert/06b650fbcc32aa07148cb9c9f9b6e763.png
[0d7e390e88793c52403c1c55ddca21e8.png]: https://img-blog.csdnimg.cn/img_convert/0d7e390e88793c52403c1c55ddca21e8.png
[fb3b07098a5fa09ae56c7b0b673dc931.png]: https://img-blog.csdnimg.cn/img_convert/fb3b07098a5fa09ae56c7b0b673dc931.png
[Link 3]: http://httpd.apache.org/docs/2.2/logs.html
[Apache]: http://httpd.apache.org/docs/2.2/mod/mod_dumpio.html